LDAP 接続のトラブルシューティングに便利な CLI コマンド
Resolution
概要
このドキュメントでは、グループを引っ張るために LDAP サーバへの接続が成功したことを確認するために使用できる CLI コマンドについて説明します。
詳細
LDAP サーバの設定中に、接続が成功した場合、デバイスは自動的にベース DN をプルします。ベースおよびバインド DN は、[デバイス] > [サーバープロファイル] > [LDAP] で構成されます。
グループマッピングのサーバープロファイルを使用している場合は、[ユーザーグループの表示-すべての状態をマップする] コマンドを使用して LDAP 接続を表示します。
例えば:
> ユーザー グループ マッピングの状態すべてを表示
グループマッピング (vsys1、タイプ: アクティブディレクトリ): grp_mapping
バインド DN: pantac2003\adminatrator
ベース: dc = pantac2003、dc = コム
グループフィルタ: (なし)
ユーザーフィルタ: (なし)
サーバー: 構成された1台のサーバー
10.46.48.101 (389)
最終アクション時間: 2290 秒前 (71 秒かかった)
次のアクション時間: で1310秒
グループの数: 121
cn = 管理者、cn = 組み込み、dc = pantac2003、dc = com
cn = ras および ias サーバー、cn = ユーザー、dc = pantac2003、dc = com
cn = s、cn = ユーザー、dc = pantac2003、dc = com
[デバイス] > [サーバープロファイル] > [LDAP] の下にあるパロアルトネットワークデバイスにバインド DN を入力した場合、コマンドの出力に "無効な資格情報" と表示されます。
以下の出力例は、"cn = Administrator12" が入力されたが、正しい値が "cn = 管理者" であるというシナリオを示しています。
> ユーザー グループ マッピングの状態すべてを表示
グループマッピング (vsys1、タイプ: アクティブディレクトリ): grp_mapping
バインド DN: cn = Administrator12、cn = ユーザー、dc = pantac2003、dc = com
ベース: dc = pantac2003、dc = コム
グループフィルタ: (なし)
ユーザーフィルタ: (なし)
サーバー: 構成された1台のサーバー
10.46.48.101 (389)
最後のアクション時間: 1 秒前に (0 秒を取った)
次のアクション時間: で60秒
最後の LDAP エラー: 資格情報が無効です
グループの数: 0
次のコマンドを使用して、useridd ログからエラーを取得できます。
> より少ない mp-ログ useridd
12月 30 15:59:07 ldap への接続://[10.46.48.101]: 389...
12月 30 15:59:07エラー: pan_ldap_bind_simple (pan_ldap c:466): ldap_sasl_bind 結果のリターン (49): 無効な資格情報
12月 30 15:59:07エラー: pan_ldap_ctrl_connect (pan_ldap_ctrl c:832): pan_ldap_bind () が失敗しました
12月 30 15:59:07エラー: pan_gm_data_connect_ctrl (pan_group_mapping c:994): pan_ldap_ctrl_connect (grp_mapping、10.46.48.101: 389) に失敗しました
12月 30 15:59:07エラー: pan_gm_data_connect_ctrl (pan_group_mapping c:1061): ldap cfg grp_mapping サーバーに接続できませんでした10.46.48.101 インデックス0
12月 30 15:59:07エラー: pan_gm_data_ldap_proc (pan_group_mapping c:1942): pan_gm_data_connect_ctrl () が失敗しました
12月 30 15:59:14警告: pan_ldap_ctrl_construct_groups (pan_ldap_ctrl c:546): 検索が中止されました
12月 30 15:59:16エラー: pan_ldap_ctrl_query_group_membership (pan_ldap_ctrl c:2384): pan_ldap_ctrl_construct_groups () が失敗しました
12月 30 15:59:16エラー: pan_gm_data_update (pan_group_mapping c:1431): pan_ldap_ctrl_query_group_membership () が失敗しました
12月 30 15:59:16エラー: pan_gm_data_ldap_proc (pan_group_mapping c:1976): pan_gm_data_update () が失敗しました
12月 30 16:00:07 ldap への接続://[10.46.48.101]: 389...
12月 30 16:00:07エラー: pan_ldap_bind_simple (pan_ldap c:466): ldap_sasl_bind 結果のリターン (49): 無効な資格情報
12月 30 16:00:07エラー: pan_ldap_ctrl_connect (pan_ldap_ctrl c:832): pan_ldap_bind () が失敗しました
12月 30 16:00:07エラー: pan_gm_data_connect_ctrl (pan_group_mapping c:994): pan_ldap_ctrl_connect (grp_mapping、10.46.48.101: 389) に失敗しました
LDAP サーバへのリンクを再確立するコマンド
> デバッグユーザー id リセットグループ-マッピング<grp_mapping_name></grp_mapping_name>
コマンドは、LDAP デバッグを設定する
> デバッグユーザー id セット ldap すべて
デバッグを有効にするコマンド
デバッグ時にユーザー id をデバッグ
デバッグを無効にするコマンド
> デバッグユーザー-id をオフ
管理ポートを使用している場合に LDAP トラフィックをキャプチャするコマンド
> tcpdump フィルタ "ポート 389"
管理ポートを使用している場合、LDAPS (SSL) トラフィックをキャプチャするコマンド
> tcpdump フィルタ "ポート 636"
管理ポートから取り出された pcap を表示するコマンド
> ビュー pcap mgmt pcap mgmt.pcap
コマンドは、scp または tftp で外部ホストに pcap をエクスポートする
> scp は pcap からユーザ名 @ ホストへの管理 pcap のエクスポート: パス
> tftp エクスポート管理-pcap から pcap<tftp host=""></tftp>
所有者: sdarapuneni